プラットフォーム
wordpress
コンポーネント
sensitive-tag-cloud
修正版
1.4.2
CVE-2025-49344は、WordPressプラグインSensitiveTagCloudにおけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。この脆弱性を悪用されると、攻撃者はStored XSS攻撃を実行し、悪意のあるスクリプトをWebサイトに注入し、ユーザーのブラウザで実行させることが可能です。影響を受けるバージョンは0.0.0から1.4.1までのものです。最新バージョンへのアップデートが推奨されます。
このCSRF脆弱性は、攻撃者が認証されたユーザーとしてリクエストを偽装することを可能にします。これにより、攻撃者はStored XSSペイロードを注入し、Webサイトのコンテンツを改ざんしたり、ユーザーを悪意のあるサイトにリダイレクトしたり、ユーザーのセッションを乗っ取ったりする可能性があります。Stored XSS攻撃は、ユーザーがWebサイトを閲覧するたびに悪意のあるスクリプトが実行されるため、広範囲に影響を及ぼす可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく低下させる可能性があります。
このCVEは2025年12月31日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、CSRFとStored XSSの組み合わせは、攻撃者にとって魅力的な標的となる可能性があります。CISA KEVリストへの登録状況は不明です。攻撃者による悪用が懸念されるため、迅速な対応が必要です。
Websites using the SensitiveTagCloud plugin, particularly those with user-generated content or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'sensitive-tag-cloud/sensitive-tag-cloud' /var/www/html/
wp plugin list | grep sensitive-tag-cloud• generic web:
curl -I https://example.com/ | grep -i 'sensitive-tag-cloud'disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、SensitiveTagCloudプラグインを最新バージョンにアップデートすることです。アップデートがすぐに利用できない場合、WAF(Web Application Firewall)を使用してCSRF攻撃をブロックすることを検討してください。また、WordPressのセキュリティプラグインを使用して、CSRFトークンを検証し、不正なリクエストを検出することも有効です。プラグインのアップデート後、WordPressサイトのセキュリティ設定を確認し、不要なプラグインを削除するなど、総合的なセキュリティ対策を実施してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に確認し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-49344は、WordPressプラグインSensitiveTagCloudのバージョン0.0.0~1.4.1におけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。この脆弱性を悪用されると、Stored XSS攻撃が可能になります。
WordPressプラグインSensitiveTagCloudのバージョン0.0.0から1.4.1を使用している場合は、影響を受ける可能性があります。最新バージョンへのアップデートを推奨します。
SensitiveTagCloudプラグインを最新バージョンにアップデートしてください。アップデートが利用できない場合は、WAFを使用してCSRF攻撃をブロックすることを検討してください。
現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されるため、迅速な対応が必要です。
SensitiveTagCloudプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。